RBN (Russian Business Network) via Real Host Ltd. is a fairly blatant cybercrime and bullet proof hosting hub. Inhabiting AS8206 Junik based in Riga, Latvia, and is high on any watch list. (ref1 & ref2)
As Dynamoo points out “A real sewer” (ref3), moreover this has all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hallmarks and operational elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apparently fragmented RBN, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r as a resurgence or a clone of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN’s business model.
Fig 1 – Front page of installing cc – Zeus botnet rental & loading
Of more current interest, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base for distributing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new and as yet un-patched “Zero day Flash/PDF exploit” (ref 4), Zero day MS e.g. Directshow - MS09-028, and a core center for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zeus botnet C&C (command and control) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 # 1 botnet in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US with an estimated 3.6 million PCs infected.
Also known but updated usage of RBN methodologies:
# Rock Phish - which originally introduced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zeus (aka WSNPOEM) Trojan.
# ZeuEsta (a mix of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ZeuS crimeware and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 El Fiesta Exploit Kit). However, since April 17 2009 ZeuEsta in combination with SPack Exploit Kit (ref 5)
Fig 2 – iSell.cc - Stolen: Bank logins, credit cards, PayPal Sales and IDs – On Real Host
Fortunately in more recent times cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are several good sources within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open SEC community of up-to-date information as to malware domains, spam centers, botnets, to select a few:
- Spamhaus – SBL75831 – lists cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net block for Phishing and Malware hosting. (Ref 6.)
- Fire - shows up to 9 complete malware servers over recent times. (Ref 7.)
- MalwareURL – shows currently 199 domains hosting amongst ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r badness; 18 trojans, 25 redirects to exploits and rogue anti-virus, 6 Botnet C&C (command and control) (Ref 8.)
- Google’s Safe Browsing - shows for AS8206 Junik in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 90 days; 12 sites providing malicious software for drive by downloads, 102 sites acting as intermediaries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection of 11,810 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r web sites. Finally it found 161 websites hosting malware that infected 20,681 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r web sites.
- Google’s Safe Browsing - as an example for just one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domains – 71.speed.info – 32 scripting exploits
The Results of Investigation and Reporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Issues
Fig 3 – Real Host Routing – as of 073109
Fig 4 – Real Host Routing – as of 080309
Money Mule sites - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Barwells Group and NewskyAG reveals cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:
BarwellsGroup
"During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trial period (1 month), you will be paid 2,000 USD per month while working on average 3 hours per day, Monday-Friday, plus 5 commissions from every transactions or task received and processed. The salary will be sent in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of wire transfer directly to your account. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trial period your base pay salary will go up to 3,500USD per month, plus 5 commissions."
Clearly this is a money mule recruitment program. Sounds pretty good for 3 hours work per day!
NewskyAG
Not only does this domain operate a money mule scam, it also ran a Zeus C&C server. What is scary is that people actually fall prey to this scheme as shown by this quote from yahoo answers:
In summary Real Host from within Junik serves;
- exploits including un patched (or soon to be patched) 0days
- Payloads to drop on victim PCs including: fake codecs, banking trojans, spambots, fake antivirus, down loaders and even a Mac trojan
- phishing sites,
- money mule recruitment sites;
- Zeus botnet Command and Control servers
- Distributing licensed software (Warez),
- Illegal porn content
Added to which is a center for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN cybercrime business model;
- botnet rental,
- botnet loading,
- phishing
- iFrame exploit affiliate,
- warez
- credit card trading forums,
- openly selling credit card, PayPal accounts and bank logins, over 10,000 “newly harvested”
So who is Real Host Ltd.?
To start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net block is leased from Junik by Alex Spiridonov, Abay Street 2a, Almaty, Kazakhstan. However, here are just a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tell tale signs:
- Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domains are ex-Estdomains.
- All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 websites are in Russian or for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trading arm Russian / English.
- Older entities which many had thought were dead and gone are here; Barwells Group, Newsky, Web-Alfa, and good old Botnet.Su
All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se were operational elements of RBN (Russian Business Network). So this may not be a reincarnation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN but are clearly Russian organized cyber criminals, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vein and at least headed by someone from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old RBN school.
Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r manual investigation led to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following information on domains supplied by Real Hosts:
IP Domain Purpose
213.182.197.229 yourgoogleanalytics.us Money Mule Recruiting
213.182.197.229 barwellsgroup.cn Money Mule Recruiting
213.182.197.249 Vikd3jj-3.com Malware
213.182.197.251 2k90.cn Malware
213.182.197.13 Mac-videos.com Mac Trojan
213.182.197.236 71speed.info Banking Trojan - Silent Banker
213.182.197.8 bestxvids.info Zlob
213.182.197.249 traffic-searches.cn Botnet C&C
213.182.197.237 1gigabayt.com Zeus C&C
213.182.197.14 iframepartners.com iframe sellers
213.182.197.228 Chlenopopik.com Zeus C&C
213.182.197.14 Megavipsite.cn Malware
213.182.197.20 Traffcount.cn Malware
213.182.197.229 Newskyag.com Money Mule Recruiting & Zeus C&C
213.182.197.235 Traffic-exchange.ru Part of iframe redirection service
213.182.197.10 vlkontacte.ru Russian Social Network Phish
213.182.197.251 Botnet.su Zeus C&C
The Botnet.su & related installs.cc domains, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers clearly aren't trying to hide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir motives on this one! This domain was previously used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN along with NewskyAG and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Zeus is of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most common threats being hosted from Real Host's network.
References:
